Сьогодні з офіційного каталогу Google Play було видалено шість модифікацій банківського трояна Android.Banker.2876, виявленого фахівцями компанії «Доктор Веб». Про це пише internet.ua.

Троян розповсюджувався під виглядом офіційних додатків кількох європейських кредитних організацій (Bankia, Banco Bilbao Vizcaya Argentaria (BBVA) та Santander, французьких Credit Agricole та Groupe Banque Populaire, а також німецької Postbank).

Як саме діяв троян?

  • Після запуску він запитував доступ до управління дзвінками та здійснення викликів, а також до відправлення та отримання SMS-повідомлень (на пристроях з ОС Android нижче версії 6.0 такі розширення надавалися автоматично).
  • Збирав конфіденційну інформацію та передавав її в хмарну базу даних  Firebase.
  • Якщо дані вдалося відправи, то троян інформував своїх операторів про те, що був зареєстрований новий користувач.
  • Потім користувачу показувалося вікно з повідомленням, в якому потенційній жертві, ніби то для продовження роботи з програмою, пропонувалося вказати номер телефону.
  • Введений жертвою номер також передавався в хмарну базу даних, а користувач бачив нове повідомлення, в якому йшлося про необхідність зачекати підтвердження “реєстрації”. Тут же відображається кнопка «Submit», при натисканні на яку абсолютно несподівано для жертви вірусів запускається вбудована в додаток гра.

В результаті зловмисники були здатні отримувати одноразові паролі підтвердження банківських операцій і іншу конфіденційну інформацію, яка може бути використана для проведення фішингових атак. Крім цього, зібрані трояном номери телефонів могли допомогти вірусописцям в організації різних шахрайських кампаній.